Essais de conformité
Une évaluation en toute impartialité

Interview Ronan Jezequel


Ronan Jezequel, ingénieur développement CNPP.

Il nous présente la méthode d'évaluation de la robustesse des équipements de sécurité face aux attaques numériques

Pouvez-vous nous parler de vos développements en cours ?

 
Actuellement, nous travaillons principalement sur les évolutions relatives à  la «cybersécurité». Les marchés de la sécurité et de la sûreté connaissent en effet une mutation technique très importante : la plupart des systèmes sont aujourd'hui déployés en "tout IP", et de plus en plus de solutions sont dorénavant proposées avec des objets connectés (caméras IP, détecteurs sur réseau..) qui communiquent via des réseaux courte ou longue portée, dédiés ou pas aux objets connectés, mais permettant leur exploitation par des interfaces web accessibles depuis smartphones, tablettes, etc..
 
A ces évolutions technologiques, sont associées de nouvelles vulnérabilités auxquelles ni les acteurs de la sécurité traditionnelle ni les utilisateurs finaux des systèmes de sécurité / sûreté déployés ne sont suffisamment sensibilisés. Le domaine de la vidéosurveillance est particulièrement concerné par ces vulnérabilités, très présentes sur les caméras IP et aujourd’hui bien connues des hackers.
 
CNPP a donc mené des études visant à identifier les mesures de prévention et des moyens de protection possibles à mettre en œuvre pour lutter contre cette nouvelle menace.
 
Notre ambition est donc d'"upgrader" les métiers de la sécurité / sûreté "traditionnelle", par la mise en place de critère d'évaluation de la robustesse des produits aux attaques numériques, par l'application de recommandations pour la réalisation d'installations sur réseau IP, mais aussi et surtout par la formation des acteurs de la sécurité / sûreté à la prise en compte des problématiques spécifiques au risque numérique.
 

Plusieurs référentiels existent pour la vidéosurveillance et la cybersécurité. Pouvez-vous nous en parler ?

 
Le référentiel APSAD R82, a pour objectif d’accompagner les utilisateurs, prescripteurs et installateurs dans la conduite d’un projet de conception et d’installation des systèmes de vidéosurveillance / vidéo-protection. Il définit les exigences techniques minimales, aide à la rédaction d’un cahier des charges et propose une méthodologie bien spécifique d’analyse des besoins et des risques.
La dernière version de notre référentiel dédié aux installations de vidéosurveillance prend en compte les dernières évolutions en matière de vidéosurveillance et porte aussi l’attention des installateurs sur le risque numérique en proposant quelques principes généraux.
 
Le référentiel APSAD D32, "document technique pour l'installation de systèmes de sécurité ou de sûreté sur un réseau informatique", est destiné à l'attention des installateurs de systèmes de sécurité / sûreté (vidéosurveillance, intrusion..) pour une mise en œuvre de ces systèmes garantissant la disponibilité, l'intégrité et la confidentialité des données propres au système.
Il propose une analyse de risque spécifique au risque numérique, permettant de définir un niveau de sûreté de l'installation. Ce niveau de sûreté est ensuite décliné en recommandations pour la conception de l'installation (niveau de protection du matériel déployé, configuration réseau..), pour la réalisation de l’installation, mais aussi pour son exploitation et sa maintenance, en proposant notamment des bonnes pratiques relevant de l’ « hygiène » numérique (mises à jour régulière, gestion des identifiants / mots de passe).
Il est donc un complément naturel aux Référentiels APSAD (R81, R82..) lorsque les installations sont réalisées sur réseau IP.
La version anglaise sera prochainement disponible.
 

CNPP a développé une méthode d'évaluation de la robustesse des équipements de sécurité aux attaques numériques. En quoi consiste-t-elle ?

 
La méthode d'évaluation développée (spécification technique CNPP DEC 16 02 pour l’évaluation de la robustesse aux attaques numériques des systèmes de sécurité / sûreté sur réseau IP) consiste :
 
  • Dans un premier temps à réaliser une recherche de vulnérabilité large sur le produit par l'application de différents logiciels du marché. Cette phase aboutit au listing des vulnérabilités "théoriques" du produit.
 
  • Dans un second temps, il s'agira de confirmer les vulnérabilités découvertes, en cherchant à les exploiter grâce à des outils (ceux utilisés par les hackers, le plus souvent libres au téléchargement sur internet !) permettant la réalisation d'attaques numériques. Si les attaques portées par les experts de CNPP leur permettent de porter atteinte aux données alors la vulnérabilité est confirmée.
 
  • Les vulnérabilités confirmées sont ensuite classées selon leur criticité. La criticité d'une vulnérabilité est haute si la complexité de l'attaque est faible (accessible à un novice) et si son impact est grave (obtention des identifiants/ mots de passe d'un compte administrateur pour un système de vidéosurveillance, par exemple).Cette classification permet au fabricant, après essai d’obtenir une cartographie des vulnérabilités recensées sur son produit.
(Source : Horlogerie & Bijouterie – janvier 2017)

Magazine"Face au risque" ListesA2P ListesAPSAD